News

YouTrack セキュリティアップデート

Read this post in other languages:

これは、YouTrack で最近検出されたのちに修正されたセキュリティ脆弱性に関する発表です。 YouTrack Standalone をご利用の法人のお客様には、8 月下旬に管理者宛てに通知をお送りしましたので、この一般発表の前に YouTrack を修正バージョンにアップグレードする時間が十分にあったと思います。 お受け取りいただいたメールに記載の内容に従って対応していただいた場合は、これ以上何も実施する必要はありません。 YouTrack InCloud のお客様は、インストールの安全性を確保するために必要な手続きはすでに済ませてありますので、ご安心ください。

問題の内容

2020 年 8 月 13 日、弊社は YouTrack に見つかったセキュリティの脆弱性を修正しました。 脆弱性は、ログインユーザーまたはゲストユーザーが、文書化されていない REST API エンドポイント経由で、必要なアクセス権限なしに課題の記述を取得できるものでした。 このセキュリティ脆弱性による影響を受けたのは、この問題が修正された時点で、バージョン 3.3(2012 年 3 月 2 日リリース)からバージョン 2020.3.4313(2020 年 8 月 13 日リリース)までの YouTrack インスタンスでした。
この脆弱性は、使用廃止となった REST API の中でも最も古い REST API の 1 つに見つかりました。 残念なことに、外部セキュリティ監査と YouTrack ソースコード監査のいずれにも検出されなかった問題です。 このエンドポイントは、製品のドキュメントも含み公開資料には一度も出現したことがないことが確認されています。
対応する CVE はこちらに公開されています。

改ざんされた情報

このセキュリティの問題により、次のいずれかの項目に該当する YouTrack インスタンスに影響が出た可能性があります。

  • ゲストアクセスが有効化されていた
  • 攻撃者がログインしていた

こういった条件を満たす場合、文書化されていない YouTrack REST API エンドポイントを使用して、システムのアクセス権限を持たずに、課題の記述を取得することが可能でした。

残念ながら、特定の YouTrack インスタンスへのアクセスが改ざんされたかどうかを確認できる情報はありません。 ただし、インスタンスのゲストアクセスが無効化されていた場合、またはスタンドアロンの YouTrack がインターネット経由でアクセスできない状態である場合、この脆弱性を利用してデータにアクセスすることはできないため、ご安心ください。

対処内容

  1. 2020 年 8 月 13 日、弊社はこの問題を修正し、YouTrack 2019.1 以降のすべてのメジャーバージョンに移植しました。そのため、YouTrack スタンドアロン版を修正済みのバージョンに更新することができます。 同日、InCloud のすべてのインスタンスについても、修正済みのバージョンへの更新を完了済みです。
  2. すべての YouTrack スタンドアロン版管理者宛てに、アップグレードを勧告するコールトゥアクションメールを送信済みです。 その時点では、YouTrack データの安全性を確保する目的を優先したため、問題の詳細を公開しませんでした。
  3. 変更がコードベースにデプロイされるたびに、この脆弱性をチェックする自動テストを追加しました。

ユーザー側で必要な対処

YouTrack Standalone: YouTrack スタンドアロン版の管理者であり、メール通知を受信していない方は、弊社サイトより、2019.1 以降の YouTrack バージョン向けの最新のバグ修正バージョンを使用して、YouTrack をアップグレードしてください。

YouTrack InCloud: 8 月時点で、修正バージョンへのアップグレードが完了しています。 ユーザーが何らかの操作を行う必要はありません。

その他のヘルプが必要な場合は、サポートエンジニアにお問い合わせいただくか、以下のコメント欄をご利用ください。
このような状況になってしまいましたことを、心より深くお詫び申し上げます。

JetBrains YouTrack チーム一同

Discover more

YouTrack 新しいヘルプデスクプロジェクト

YouTrack 2023.1 に YouTrack Helpdesk が導入されました。社内外の顧客へのカスタマーサポートサービスを合理化することができます。 YouTrack には、新しいヘルプデスクプロジェクトタイプ、サポート担当者向けの大幅な改善、および無制限の顧客数とリクエスト数に対応できる機能を備えています。これにより、経験豊富なカスタマーサポートが、チームの全てのプロジェクトを一つの便利なツールでサポートします。 ただし、YouTrack 2023.1 の新機能はこれだけではありません。 ナレッジベースが強化され、公開ドキュメントと FAQ を構築しやすくなっています。 Zendesk とメールボックス統合がカスタマーサポートサービスの移行を簡単に行えるように改善されています。 Miro ボードや Google ドライブの動画をタスクと記事に埋め込む機能などの新しいコンテンツオプションにより、ナレッジベース、チケット、およびタスクを充実させられるようになります。 YouTrack Helpdesk の概要 YouTrack Helpdesk のエクスペリエンスは新しい専用のヘルプデスクプロジェクトから始まります。 ヘルプデスクプロジェクトはサポート担当者や他のチームメンバーを念頭に設計されており、外部の顧客や内部サービスデスク向けのサポートシ

2023 年の YouTrack ロードマップ

新しい年が始まりましたので、最新のロードマップと今後の YouTrack の長期的な目標をお知らせしたいと思います。 ユーザーの献身的な努力のおかげで YouTrack の顧客数は世界的に急成長しており、私たちは今後もあらゆる業界で使用できるさらに強力なチーム向けツールの制作に努めてまいります。 YouTrack 製品への取り組みと願望 昨年は弊社の 2022 年ロードマップと長期計画を公開しましたが、その方針は大変好意的に受け止められました。そのため、これまでの製品への取り組みを維持することになりました。 YouTrack はソフトウェア開発および IT 部門、プロダクトおよびプロジェクト管理、マーケティング、財務、業務、およびその他多くの分野において、作業、コラボレーション、およびコミュニケーションを思いのままに実現できるチーム向けの総合ツールに成長しようとしています。 私たちは中小企業の単純なタスク管理から大企業の複雑なプロジェクトの調整まで、より幅広いユースケースに対応できる YouTrack を開発し続けることを長期的に計画しています。 また、アプリケーションとデータのホスティング環境をユーザーが自由に選択できるように努めています。 そのため、チームが必要に応じてクラウドとオンプレミス型のホスティング間を簡単に移行できるように YouTrack Cloud と Serv